Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • PHP-CGI RCE Flaw explotado en ataques contra los sectores de tecnología, telecomunicaciones y comercio electrónico de Japón
  • Tecnología

PHP-CGI RCE Flaw explotado en ataques contra los sectores de tecnología, telecomunicaciones y comercio electrónico de Japón

teknomers 7 de Mart de 2025 (Last updated: 7 de Mart de 2025) 3 minutes read
PHP-CGI RCE Flaw explotado en ataques contra los sectores de


07 de marzo de 2025Ravie LakshmananInteligencia /vulnerabilidad de amenazas

Los actores de amenaza de procedencia desconocida se han atribuido a una campaña maliciosa dirigida predominantemente a organizaciones en Japón desde enero de 2025.

“El atacante ha explotado la vulnerabilidad CVE-2024-4577, una falla de ejecución de código remoto (RCE) en la implementación de PHP-CGI de PHP en Windows, para obtener acceso inicial a las máquinas de víctimas”, el investigador de Cisco Talos Chetan Raghupra dicho En un informe técnico publicado el jueves.

“El atacante utiliza complementos de los públicos disponibles Cobalt Strike Kit ‘Taowu’ para actividades de explotación de postes “.

Los objetivos de la actividad maliciosa abarcan empresas en sectores de tecnología, telecomunicaciones, entretenimiento, educación y comercio electrónico en Japón.

Todo comienza con la amenaza que los actores que explotan la vulnerabilidad CVE-2024-4577 para obtener acceso inicial y ejecutar scripts de PowerShell para ejecutar la carga útil de shellcode HTTP de Cobalt Strike para otorgarse el acceso remoto persistente al punto final comprometido.

El siguiente paso implica llevar a cabo el reconocimiento, la escalada de privilegios y el movimiento lateral utilizando herramientas como JuicyPotato, Rottenpotato, Sweetpotato, FSCan y Seatbelt. La persistencia adicional se establece a través de modificaciones del registro de Windows, tareas programadas y servicios a medida que utilizan los complementos del kit Cobalt Strike llamado Taowu.

“Para mantener sigiloso, borran registros de eventos utilizando comandos de Wevtutil, eliminando rastros de sus acciones de los registros de seguridad, sistema y aplicaciones de Windows”, señaló Raghuprasad. “Eventualmente, ejecutan comandos de Mimikatz para descargar y exfiltrar contraseñas y hashes NTLM de la memoria en la máquina de la víctima”.

Ciberseguridad

Los ataques culminan con la tripulación de piratería que roba contraseñas y hashes NTLM de los hosts infectados. Un análisis posterior de los servidores de comando y control (C2) asociados con la herramienta de huelga de cobalto ha revelado que el actor de amenaza dejó los listados de directorio accesibles a través de Internet, exponiendo así el conjunto completo de herramientas y marcos adversos alojados en los servidores de la nube de Alibaba.

PHP-CGI RCE FLAW Explotado

Notable entre las herramientas se enumeran a continuación –

  • Marco de explotación del navegador (carne de res), un software Pentesting disponible públicamente para ejecutar comandos dentro del contexto del navegador
  • Viper C2, un marco modular C2 que facilita la ejecución de comandos remotos y la generación de cargas útiles de shell inverso de meterpreter
  • Blue-Lotus, un marco de ataques de scripts de sitios internos de JavaScript webshell (XSS) que permite la creación de cargas útiles de shell web de JavaScript para realizar ataques XSS, capturar capturas de pantalla, obtener shell inverso, robar cookies del navegador y crear nuevas cuentas en el sistema de gestión de contenido (CMS)

“Evaluamos con una confianza moderada de que el motivo del atacante se extiende más allá de la cosecha de credenciales, en función de nuestra observación de otras actividades de explotación posteriores, como establecer la persistencia, elevar al privilegio a nivel del sistema y un acceso potencial a marcos adversos, que indica la probabilidad de ataques futuros”, dijo Raghuprasad.

¿Encontró este artículo interesante? Séguenos Gorjeo  y LinkedIn Para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: El gabinete está de acuerdo en Bruselas con rearmisión europea, a pesar de la disposición en la coalición
Next: El corte de medusas es la tendencia de cabello más edgligra de 2025

Related Stories

Climatización en canícula: ¿coche eléctrico o térmico, cuál resiste mejor?
  • Tecnología

Climatización en canícula: ¿coche eléctrico o térmico, cuál resiste mejor?

teknomers 11 de Temmuz de 2026
PlayStation y la muerte del disco: por qué el mejor
  • Tecnología

PlayStation y la muerte del disco: por qué el mejor golpe de marketing de Sony se vuelve en su contra

teknomers 11 de Temmuz de 2026
VPN de vacaciones: cómo elegir el servidor adecuado en el
  • Tecnología

VPN de vacaciones: cómo elegir el servidor adecuado en el extranjero

teknomers 11 de Temmuz de 2026

You May Have Missed

  • General

“Acusaciones absurdas…”: China y Rusia critican a EE. UU. y Reino Unido en un explosivo enfrentamiento en la ONU sobre la guerra en Irán – Teknomers Video

teknomers 11 de Temmuz de 2026
Noruega-Inglaterra: el video del gol excepcional de Andreas Schjelderup para
  • Deporte

Noruega-Inglaterra: el video del gol excepcional de Andreas Schjelderup para desbloquear los cuartos de final

teknomers 11 de Temmuz de 2026
  • Cultura

«La abuela de YouTube»: la actriz Claudette Walker ha fallecido a los 86 años

teknomers 11 de Temmuz de 2026
Climatización en canícula: ¿coche eléctrico o térmico, cuál resiste mejor?
  • Tecnología

Climatización en canícula: ¿coche eléctrico o térmico, cuál resiste mejor?

teknomers 11 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.